过去,处理服务器访问以及解决隐私和安全问题最有效完善的方法是在企业内网通过 LDAP 协议或微软 Active Directory(AD)建立中央用户目录作为唯一的用户源。企业从中央目录出发,搭建一个通向云服务器基础设施的“桥梁”,这些基础架构可能会参与运行一个或多个不同的 IaaS 平台
考虑到很多服务器是远程运行,企业需要一种简单的方法让每台服务器掌握有关访问准入和访问权限的信息。较为高效的方案是利用基于 SaaS 的云目录服务,即 DaaS 平台。云目录服务会与企业内部的 LDAP 或 AD 进行用户同步,云用户管理服务作为 LDAP 服务端,可以根据准入和权限实现自动化用户预配和管理。
用户管理服务示意图
云目录服务的优势
采用云目录平台能为管理员带来了很多好处:
1)无需网络配置
上图中的 Bridge,即 LDAP 或 AD 代理,会将反馈安全发送给 SaaS 交付的用户管理服务。Bridge 负责管理所有用户,并保持同步,同时确保防火墙端口以及中央目录的安全。借助这样的结构,企业本地无需修改网络配置。
2)提升安全性
云目录服务能保证中央目录的安全,以及所有用户的同步状态。服务器基础设施和企业的核心用户源同步,因此用户的访问会受到严格限制。用户被停用后,不会配置和保留无关帐户。由于用户账号被盗是企业目录的第一大风险,企业必须保持用户准入的精确性,这意味着每位员工和其所使用的设备都必须妥善管理。
3)尽可能减少额外管理
云目录服务会自动同步用户,组标签也会一并复制到云基础设施,所以管理员除了创建账号和特权管理以外几乎没有什么额外工作。即便是账号创建和特权管理,云目录平台也会将相关信息复制,并在所有系统、应用和网络中给予用户相应的访问权限。
4)移动办公业务协同
对于例如快消、电商、科技互联网等移动业务特性的企业,往往会选择将钉钉、企业微信、飞书等企业社交账号,作为员工身份账号源。云目录服务在提供桥接本地 AD、LDAP 账号的能力外,还可桥接企业移动社交账号,并实现自动化用户预配和管理,无需维护多套账号体系,助推移动业务的快速上线、增长。